ALLMÄNNA BESTÄMMELSER FÖR ANSLUTNING AV ANVÄNDARFÖRETAG TILL ID06-SYSTEMET
ALLMÄNNA BESTÄMMELSER FÖR ANSLUTNING AV ANVÄNDARFÖRETAG TILL ID06-SYSTEMET
1 BAKGRUND
1.1 ID06 AB ("ID06") utvecklar och förvaltar, tillsammans med externa parter, ett behörighets- och informationssystem vars syfte är att förhindra svartarbete och annan ekonomisk brottslighet och för att stärka en sund konkurrens på arbetsmarknaden ("ID06-systemet").
1.2 Dessa allmänna bestämmelser ("Allmänna Bestämmelser") ska gälla mellan ID06 och ett företag, en myndighet, en förening eller en annan organisation som ansluter sig till ID06-systemet ("Användarföretaget"). Genom att ansluta sig till ID06-systemet, ges Användarföretaget möjlighet att beställa ID06-kort för sina anställda, och vissa övriga personkategorier, samt att använda de tjänster som från tid till annan tillhandahålls inom ramen för ID06-systemet.
1.3 Genom att godkänna dessa Allmänna Bestämmelser och betala fastställda avgifter för Användarföretag ansluter sig Användarföretaget till ID06-systemet. Användarföretaget förbinder sig att fortlöpande följa dessa Allmänna Bestämmelser.
2 DEFINITIONER
I dessa Allmänna Bestämmelser ska nedanstående begrepp ha följande innebörd:
"Allmänna Bestämmelser" | har den betydelse som anges i Bakgrunden; |
"Användarföretaget" | har den betydelse som anges i Bakgrunden; |
"Behörig Användare" | |
"elevID06-kort" | är en särskild typ av ID06-kort som utfärdas av elevID06 AB, och kan beställas av skolor, till lärare och elever som går en utbildning med praktiktjänstgöring som kräver innehav av ID06-kort; |
"ID06" | avser ID06 AB, org. nr. 559052-2040; |
"ID06-ansvarig" | avser den part som ansvarar för att en ID06-tjänst finns på arbetsplatsen; |
"ID06 Bolagsdeklaration" | avser en tjänst som ger Användarföretag möjlighet att få tillgång till finansiell och annan bolagsrelaterad information om andra Användarföretag – eller potentiell partner, som kan förväntas ansluta sig till ID06-systemet – som de avser att samarbeta med; |
"ID06 Kompetensdatabas" | avser ett register över utbildningsbevis som har utvecklats för att skapa säkrare och tryggare arbetsplatser. Individer har tillgång till sina egna uppgifter och Användarföretag har tillgång till uppgifter om sina egna anställda i ID06 Kompetensdatabas; |
"ID06-kort" | avser de kort som används inom ID06-systemet; |
"ID06-leverantör" | avser en leverantör som tillhandahåller en ID06-tjänst; |
"ID06 Portalen" | |
"ID06 Stamp" | avser en analys- och lagringstjänst för elektroniska personalliggare inom ID06-systemet; |
"ID06-systemet" | har den betydelse som anges i Bakgrunden; |
"ID06-tjänst" | avser en tjänst, produkt, system eller applikationsutrustning som för sin funktion är beroende av ID06-systemet; |
"Information" | avser sådan information som ID06 innehar, och som från tid till annan tillhandahålls Användarföretag via ID06 Portalen eller via en ID06-tjänst; och |
"Svartarbete" | avser arbete som utförs och för vilket undandragande av lagstadgade skatter och avgifter sker, såsom exempelvis inkomstskatt och socialförsäkringsavgift. |
3 ID06 ÄNDAMÅL OCH ID06-SYSTEMETS SYFTE SAMT TILLHANDAHÅLLANDE AV TJÄNSTER
3.1 ID06 ändamål är att skapa förutsättningar för sund konkurrens genom att utveckla och tillhandahålla IT-system, IT-infrastruktur, IT-baserade sök- och analystjänster och annat stöd till företag, myndigheter, och andra organisationer för att motverka Svartarbete och annan ekonomisk brottslighet, främja säkerheten på arbetsplatser samt medverka till effektivisering av arbetsprocesser och därigenom främja gemensamma samhällsintressen.
3.2 ID06-systemets syfte är primärt att motverka Svartarbete och annan ekonomisk brottslighet genom att bidra till effektiv skattekontroll men även att främja säkerheten på arbetsplatser genom att bland annat underlätta att krav enligt arbetsmiljölagen efterlevs och medverka till effektivisering av arbetsprocesser genom ökade möjligheter till digitalisering.
3.3 Kärnfunktionen i ID06-systemet är att säkerställa arbetsgivarsambandet mellan en arbetsgivare som uppfyller fastställda krav för att ansluta sig till ID06-systemet och en korrekt identifierad anställd individ. Arbetsgivarsambandet bekräftas genom att ett ID06-kort utfärdas. På arbetsplatser kan in- och utpassering registreras och underlag för effektiv skattekontroll skapas. Detta sker genom att individens tidsloggar registreras tillsammans med arbetsgivarens organisationsnummer.
3.4 Ett villkor för att vara ansluten till ID06-systemet är att Användarföretaget:
efterlever ID06-systemets syfte och medverkar i ID06 arbete för att främja regelefterlevnad,
i alla väsentliga avseende följer gällande lag, samt
innehar godkännande för F-skatt från Skatteverket. Undantaget från detta villkor är staten, kommuner och landsting.
3.5 Dessa Allmänna Bestämmelser reglerar tillhandahållandet och användningen av ID06- tjänster. Utöver dessa Allmänna Bestämmelser kan en ID06-tjänst regleras av särskilda villkor som gäller för tjänsten.
3.6 ID06 äger rätt att göra ändringar i en ID06-tjänst. Sådana ändringar kan avse exempelvis förändringar av den tekniska lösningen, dess utformning eller vilken Information som tillhandahålls.
3.7 Utöver dessa Allmänna Bestämmelser regleras användningen av en tjänst som tillhandahålls av en extern ID06-leverantör av ID06-leverantörens villkor.
4 VILLKOR FÖR ANVÄNDNING AV TJÄNSTER INOM ID06-SYSTEMET
4.1 Beställning och registrering av ID06-kort
beställning av ID06-kort får endast ske för personer som har rätt att arbeta inom den Europeiska unionen, EES eller EFTA,
för medborgare från ett land utanför den Europeiska unionen, EES eller EFTA är ID06-kortets giltighet villkorad av att personen innehar giltigt arbets- och uppehållstillstånds,
en arbetsgivare eller en egenföretagare, som är etablerad i annat land än Sverige och som sänder arbetstagare eller sig själv som egenföretagare, till Sverige för arbete under en begränsad tid, ska anmäla detta till Arbetsmiljöverkets utstationeringsregister senast vid tidpunkten då utstationeringen påbörjas,
för personer som studerar och gör praktikinslag i yrkesinriktade utbildningar inom yrkeshögskolan eller högskola/universitet, ska ID06-kort registreras av skolan,
för elever och lärare inom gymnasieskolans program, ska ID06-kort beställas av skolan. För ytterligare information kring kortbeställning enligt denna punkt hänvisas till xxx.xx00.xx,
för personer inskrivna på arbetsförmedlingen som gör praktik, ska ID06-kort registreras av arbetsförmedlingen,
för personer som utför arbete, helt eller delvis ideellt, inom förening eller trossamfund, ska ID06-kort beställas och registreras av föreningen eller trossamfundet,
för personer med LMA-kort, enligt lag (1994:137) om mottagande av asylsökande m.fl., som ska utföra praktik hos ett företag, ska det ansökande företaget vid beställning av ID06-kort bifoga kopia på personens LMA-kort och kopia på det praktikavtal som upprättats mellan utfärdande myndighet och företaget som ska handleda personen, och
för inhyrd personal på en arbetsplats, ska ID06-kort beställas och registreras av det uthyrande företaget.
4.1.3 Om Användarföretaget registrerar ID06-kort för annan person än de som anges i punkterna 4.1.1 och 4.1.2 ovan eller på ett väsentligt sätt bryter mot punkt 4 i övrigt eller mot gällande lag, äger ID06 rätt att med omedelbar verkan spärra Användarföretagets ID06-kort från vidare användning. Ett väsentligt brott ska anses föreligga om det till exempel saknas arbetsgivarsamband mellan ett Användarföretag och en person för vilken Användarföretaget registrerat ID06-kort, utan att något av undantagen i punkt 4.1.2 ovan är tillämpliga, eller om en anmälan enligt sagda punkt inte skett.
4.2 Villkor för arbetsplatser där ID06-systemet används
innehar giltigt ID06-kort, vilket ska bäras synligt,
på anmodan kan uppvisa giltig legitimation (pass eller annan identitetshandling med fotografi utfärdat av en myndighet eller annat organ som utfärdar allmänt erkända och accepterade identitetshandlingar),
om det anges i kontraktshandlingarna, mellan ett Användarföretag och dess uppdragsgivare, ska Användarföretaget i förväg anmäla till ID06-ansvarig vilka av Användarföretagets anställda som har rätt att befinna sig på arbetsplatsen. Föranmälan ska innehålla Användarföretagets firmanamn och organisationsnummer samt de anställdas namn och ID06-kortnummer. ID06-ansvarig äger rätten att meddela undantag från föranmälningsskyldigheten,
registrerar in- och utpassering i den elektroniska personalliggaren när så krävs enligt lag och enligt de särskilda bestämmelser som kan gälla på arbetsplatsen,
utan dröjsmål underrättar ID06-ansvarig vid upptäckt av felaktigheter och brister som kan påverka ID06-systemets hantering,
följer de ordnings- och säkerhetsbestämmelser som gäller för arbetsplatsen, och
i övrigt följer gällande lag och myndighetsföreskrifter.
4.2.2 Oaktat vad som anges i punkt 4.2.1 ovan, ska en person som befinner sig på arbetsplatsen under kortare tid och som därvid enbart lastar eller lossar material, varor eller hjälpmedel på särskilt angiven plats, inte behöva registrera in- och utpassering om inte annat följer av särskild överenskommelse eller särskilda bestämmelser som gäller på arbetsplatsen.
4.2.3 När kravet på att upprätta en personaliggare följer enligt skatteförfarandelagen (2011:1244) kan byggherrens ansvar att tillhandahålla utrustning, så att en samlad elektronisk personalliggare över alla entreprenörer som är på arbetsplatsen kan föras, i vissa fall överlåtas. Om en sådan överlåtelse skett till Användarföretaget, ska Användarföretaget tillhandahålla sådan utrustning, hålla den samlade elektroniska personalliggaren tillgänglig för Skatteverket samt lagra uppgifterna i enlighet med kraven i skatteförfarandelagen så att en samlad elektronisk personalliggare för alla entreprenörer på arbetsplatsen kan föras.
4.2.4 ID06-ansvarig på en arbetsplats har rätt att följa upp och kontrollera att personer på en arbetsplats innehar ID06-kort, att registrering av in- och utpassering sköts samt att avvisa personer som inte uppfyller dessa krav från arbetsplatsen.
4.2.6 Om inte annat framgår av kontraktshandlingarna mellan Användarföretaget och dess uppdragsgivare ska, på arbetsplats där ID06-systemet tillämpas, Användarföretaget utge en administrationsavgift till ID06-ansvarig vid varje påtalat tillfälle som någon av Användarföretagets anställda, eller en person som utför arbete för Användarföretaget, inte kan uppvisa ett giltigt ID06-kort eller bryter mot vad som föreskrivs i punkterna 4.2.1 b), c) eller d). Administrationsavgift utgår med 500 kr per person och dag. För brist vid tillämpning av skatteförfarandelagen (2011:1244) som lett till en kontrollavgift från Skatteverket får administrationsavgift enligt denna punkt inte uttas.
4.2.7 Användarföretaget är skyldigt att säkerställa att underleverantörer som Användarföretaget anlitar och underleverantörer i senare led, efterlever kraven i denna punkt 4.2 vid arbete på arbetsplatsen.
4.2.8 Användarföretaget är medvetet om betydelsen av att efterleva dessa Allmänna Bestämmelser och att det kan uppstå en väsentlig skada hos Användarföretagets uppdragsgivare eller annan berörd part vid brott mot dessa Allmänna Bestämmelser.
5 ID06 PORTALEN – ANVÄNDARFÖRETAGETS FÖNSTER MOT ID06-SYSTEMET
5.1 Tillgång till ID06 Portalen
5.1.1 Genom att ansluta sig till ID06-systemet ges Användarföretaget tillgång till ID06 Portalen. I ID06 Portalen kan Användarföretaget ta del av Information som finns lagrad om Användarföretaget och dess anställda i ID06-systemet samt annan information som ID06 från tid till annan tillhandahåller. ID06 Portalen ger även i vissa fall möjlighet för Användarföretaget att importera Information till eget IT-system.
5.1.2 Efter validering av Användarföretagets anslutning till ID06-systemet och godkännande av dessa Allmänna Bestämmelser, ges Användarföretaget möjlighet att ange användare som ska vara behöriga att för Användarföretagets räkning använda ID06 Portalen ("Behörig Användare"). En Behörig Användare ska anses vara behörig att för Användarföretagets räkning ta del av information från ID06, godkänna villkor för tjänster som tillhandahålls av ID06 eller tillhandahålla eller godkänna instruktion för behandling av personuppgifter enligt tillämpligt personuppgiftsbiträdesavtal. Behandling av Xxxxxxxx Användares personuppgifter, med anledning av deras användning av ID06 Portalen, sker i enlighet med ID06 Integritetspolicy.
5.1.3 ID06 förbehåller sig rätten att neka ett Användarföretag, eller en användare som Användarföretaget anger, anslutning till ID06 Portalen om denne tidigare blivit avstängd på grund av missbruk av ID06-systemet.
5.2 Användning av ID06 Portalen
5.2.1 För att kunna nyttja ID06 Portalen krävs att Användarföretaget innehar internetanslutning och utrustning som möjliggör åtkomst till ID06 Portalen. Information om tekniska krav för ID06 Portalen anges på xxx.xx00.xx.
5.2.2 Användarföretaget är skyldig att iaktta ID06 anvisningar och gällande lagar och regler vid användning av ID06 Portalen. Användarföretaget får inte använda ID06 Portalen eller Information som erhålls genom portalen, och inte låta annan använda ID06 Portalen, på ett sätt som orsakar skada eller annan olägenhet för ID06 eller annan part. Användarföretaget ska vidare tillse att brister och felaktigheter som påträffas i ID06 Portalen påtalas för ID06 utan dröjsmål.
5.2.3 Den Information som Användarföretaget ges möjlighet att importera från ID06 till eget system kan komma att utgöra personuppgifter hos Användarföretaget. Användarföretaget ansvarar, i egenskap av personuppgiftsansvarig, för att den behandling av personuppgifter som sker i Användarföretagets verksamhet är förenlig med tillämplig dataskyddslagstiftning.
5.2.4 Användarföretaget ansvarar för att inloggningsuppgifter och lösenord till ID06 Portalen förvaras på ett betryggande sätt och inte används av eller avslöjas för obehöriga. Användarföretaget ansvarar för att hålla sina åtkomsträttigheter uppdaterade i ID06 Portalen. Om Användarföretaget misstänker att någon obehörig fått tillgång till Användarföretagets inloggningsinformation är Användarföretaget skyldig att omedelbart ändra inloggningsinformationen eller, om detta inte är möjligt, meddela ID06.
5.2.5 Användarföretaget får vid sin anslutning till ID06 Portalen möjlighet att använda det specifika ID06-figurmärke som gäller för Användarföretag. Figurmärket får användas av Användarföretaget i sammanhang som är förenligt med ID06 ändamål och ID06- systemets syfte samt om användningen i övrigt uppfyller god sed och sker med gott omdöme. När ett Användarföretag inte längre är anslutet till ID06-systemet upphör rätten att använda figurmärket.
5.2.6 All användning av ID06 Portalen är spårbar. Användarföretaget ansvarar för att Xxxxxxxx Användares användning av ID06 Portalen och tjänsterna däri sker i enlighet med de Allmänna Bestämmelserna samt eventuella riktlinjer som anges i ID06 Portalen.
5.3 Tillgänglighet och begränsningar i åtkomsten av ID06 Portalen
5.3.1 Med undantag för planerat underhåll är ID06 Portalen normalt tillgänglig alla dygnets timmar året om. Vid en driftstörning ska ID06 skyndsamt vidta erforderliga åtgärder för att minimera effekterna av störningen. ID06 lämnar inga utfästelser eller garantier avseende ID06 Portalens funktionalitet eller de tjänster som tillhandahålls genom ID06 Portalen. ID06 förbehåller sig även rätten att tillfälligt avbryta tillhandahållandet av ID06 Portalen för till exempel underhåll, buggrättningar och uppgraderingar. Driftinformation tillhandhålls löpande på xxx.xx00.xx.
5.3.2 Om Användarföretaget brister i efterlevnaden av dessa Allmänna Bestämmelser, eller om ID06 på goda grunder misstänker att Användarföretaget brister i efterlevnaden, har ID06 rätt att omedelbart blockera Användarföretagets, eller en Behörig Användares, åtkomst till ID06 Portalen, till dess att Användarföretaget kan påvisa att bristerna eller felaktigheterna är åtgärdade. ID06 ska utan dröjsmål informera Användarföretaget när åtgärd enligt denna punkt 5.3.2 vidtas. Vid väsentliga brister eller felaktigheter har ID06 även en rätt att säga upp Användarföretagets anslutning till ID06-systemet.
5.4 Ändringar i ID06 Portalen
ID06 äger rätt att göra ändringar i ID06 Portalen. Sådana ändringar kan avse exempelvis förändringar av den tekniska lösningen för ID06 Portalen, dess utformning eller vilken Information som tillhandahålls. Detta kan medföra att vissa funktioner upphör, ändras eller tillkommer och att de tekniska förutsättningarna för åtkomst till ID06 Portalen eller viss Information ändras.
6 INFORMATION
6.1 Användarföretaget har rätt att använda Information som det tagit del av genom en ID06-tjänst, för följande användningsområden:
upprätthålla och uppfylla krav avseende elektronisk personalliggare,
identifiering,
försvåra förekomsten av Svartarbete och övrig ekonomisk brottslighet,
säkerställa att personer på arbetsplatsen innehar efterfrågad kompetens, eller
xxxx och administrera arbetet i Användarföretagets verksamhet.
6.2 Den Information som erhålls genom ID06-systemet ska användas med gott omdöme, på ett ansvarsfullt och säkert sätt och alltid i enlighet med gällande lag, inklusive tillämplig dataskyddslagstiftning, samt ID06-systemets syfte.
6.3 Ett Användarföretag får inte använda Information i ID06 Kompetensdatabas avseende individer kopplade till ett annat Användarföretag i rekryteringssyfte eller för att bygga en egen kompetensdatabas. Information från ID06 Kompetensdatabas avseende individerna kopplade till ett annat Användarföretag får endast användas lokalt på en arbetsplats.
6.4 ID06 strävar efter att Informationen ska vara av god kvalitet och tillhandahållas med hög tillgänglighet. Användarföretaget informeras dock om att:
Informationen har registrerats av Användarföretag och fristående ID06- leverantörer. Även om ID06 genom avtal har ställt höga krav på att registreringen av Information ska vara korrekt, har registreringen skett utan ID06 medverkan eller direkta kontroll. ID06 kan därför inte garantera kvaliteten på Informationen eller att Informationen i övrigt är korrekt, fullständig eller aktuell, och
ID06 gör inga utfästelser avseende tillgängligheten av den Information som tillhandahålls.
6.5 Användarföretaget uppmanas att rapportera felaktiga uppgifter i Informationen till ID06 på sätt som anges på xxx.xx00.xx.
6.6 Användarföretaget ska, utöver vad som anges i denna punkt 6, följa de allmänna riktlinjer för användning av Information som anges på xxx.xx00.xx.
7 ID06 STAMP
7.1 I syfte att förenkla för Användarföretaget att bevara elektroniska personalliggare och säkerställa regelefterlevnad, tillhandahåller ID06 tjänsten ID06 Stamp som samlar Användarföretagets samtliga elektroniska personalliggare som upprättats inom ID06- systemet. Behandling av personuppgifter i ID06 Stamp regleras av bilaga 1 (Personuppgiftsbiträdesavtal).
7.2 Användarföretaget ger ID06 rätten att inhämta sådan information, inklusive personuppgifter, som Användarföretaget lagrar i ID06 Stamp och behandla de inhämtade uppgifterna inom ramen för ID06 verksamhet för att säkerställa ID06 ändamål och ID06-systemets syfte såsom framgår av punkt 3 ovan. ID06 ska härvid särskilt beakta och ta hänsyn till den sekretess som kan råda enligt punkt 13 och behandling av personuppgifter ska ske i enlighet med vid var tid gällande ID06 Integritetspolicy.
8 REVISION
ID06 har rätt att följa upp och kontrollera Användarföretagets användning av ID06- systemet i syfte att säkerställa efterlevnad av dessa Allmänna Bestämmelser. Användarföretaget ska efter bästa förmåga tillhandahålla den information samt den övriga assistans som rimligen kan behövas för sådan kontroll.
9 BETALNING AV AVGIFTER
Användarföretaget ska erlägga betalning av avgifter till ID06 enligt vid var tid gällande prislista (anges på xxx.xx00.xx) på det sätt som framgår av utställd faktura. De priser som ID06 tillämpar ska vara skäliga och eventuella prishöjningar ska meddelas Användarföretaget, i god tid innan ändring träder i kraft, på ID06 Portalen och på xxx.xx00.xx. Vid försenad betalning, eller vid spärrning av ID06-kort, har ID06 rätt att begära en administrativ avgift (f.n. 1500 kronor).
10 UPPSÄGNING AV ANSLUTNING
10.1 En uppsägning av Användarföretagets anslutning till ID06-systemet medför per automatik en uppsägning av Allmänna bestämmelser.
10.2 Användarföretaget har rätt att när som helst säga upp sin anslutning till ID06- systemet genom att skriftligen meddela ID06 härom. Sådan uppsägning träder i kraft trettio (30) dagar efter att Användarföretaget meddelat ID06 sin uppsägning.
10.3 Om Användarföretaget säger upp sin anslutning till ID06-systemet upphör Användarföretagets rätt att använda ID06 Portalen, samt övriga tjänster anslutna till ID06-systemet, när uppsägningen träder i kraft.
inte betalar avgifter enligt punkt 9 ovan,
i väsentligt avseende åsidosätter sina skyldigheter enligt dessa Allmänna Bestämmelser och inte vidtar full självrättelse, när så är möjligt, inom tio
(10) arbetsdagar efter mottagande av skriftlig begäran härom,
försätts i konkurs, upptar ackordsförhandlingar, inleder företagsrekonstruktion, träder i likvidation, ställer in sina betalningar eller annars kan antas ha kommit på obestånd,
agerar, eller underlåter att agera, och sådant agerande eller underlåtenhet i väsentligt avseende motverkar, eller står i strid med ID06-systemets syfte, eller
agerar, eller underlåter att agera, och sådant agerande eller underlåtenhet står i strid med gällande lagstiftning eller är föremål för myndighetsutredning som rör lagöverträdelse, och sådan överträdelse av lag är väsentlig, och riskerar att skada trovärdigheten för ID06-systemet.
10.5 Uppsägning enligt punkt 10.4 ovan ska vara skriftlig och träder ikraft med omedelbar verkan eller vid sådan senare tidpunkt som ID06 meddelar.
10.6 ID06 har en rätt att blockera Användarföretagets tillgång till ID06 Portalen, enskilda ID06-tjänster, och Information, samt spärra ID06-kort om användning sker i strid med dessa Allmänna bestämmelser, eller vid bristande betalning, tills rättelse sker.
11 ANSVAR
11.1 ID06 ansvar för skada som Användarföretaget lider med anledning av dennes användning av ID06-systemet är begränsat till ersättning för styrkta och skäliga kostnader som uppkommit som en direkt följd av ID06 vårdslöshet. ID06 ansvarar inte i något fall för indirekt skada såsom exempelvis utebliven vinst eller nytta, minskad omsättning, förlust av data, skada på tredje mans egendom, hinder att uppfylla förpliktelser gentemot tredje man, eller annan följdskada samt skada som icke rimligen kunnat förutses av ID06. Härutöver är ID06 ansvar begränsat till en miljon (1 000 000) kronor.
11.2 Användarföretaget äger endast rätt att göra gällande fel eller brist enligt denna punkt 11 om Användarföretaget gett ID06 skriftligt meddelande härom senast en (1) månad efter att Användarföretaget märkt, eller bort märka, grunden för kravet.
12 ÄNDRING AV VILLKOREN
ID06 förbehåller sig rätten att ändra eller göra tillägg i dessa Allmänna Bestämmelser. Ändringar ska meddelas Användarföretaget via ID06 Portalen eller till Användarföretagets registrerade adress (eller Behörig Användare) eller den postadress, eller e-postadress, som Användarföretaget uppgivit vid anslutning till ID06-systemet, senast en (1) månad innan ändringen träder i kraft. ID06 ska dock äga rätt att genomföra ändringar av icke-materiell natur samt ändringar och tillägg som föranleds av lag, förordning eller myndighetsbeslut.
13 SEKRETESS
13.1 Respektive part ska iaktta sekretess avseende uppgifter om motpartens verksamhet som skriftligen är märkta som konfidentiella eller som uppenbarligen är av konfidentiell natur. Part har dock rätt att, med sekretessförbehåll, delge sådan information till sina rådgivare.
13.2 Sekretessen ska dock inte gälla sådan information som (i) part rimligen behöver kunna lämna ut till tredje part, såsom vid förfrågan från myndighet; (ii) vid tiden för överlämnandet var eller därefter blivit allmänt känd på annat sätt än genom brott mot detta sekretessåtagande; (iii) lämnats till part eller dess ombud av en tredje man, som äger rätt att lämna ut sådan information utan brott mot sekretessåtagande; eller
(iv) var känd för part redan innan överlämnandet från den andra parten.
14 ÖVRIGT
14.1 Överlåtelse
Användarföretaget får inte överlåta sina rättigheter och skyldigheter enligt dessa Allmänna Bestämmelser utan ID06 skriftliga samtycke.
14.2 Meddelanden
14.2.1 Uppsägning och andra meddelanden ska ske genom rekommenderat brev eller elektroniskt meddelande till nedanstående adress:
ID06 AB, Box 13144, 103 03 Stockholm eller via e-postadress till xxxxxxx@xx00.xx (ange "AVTAL" i ämnesraden).
Användarföretagets registrerade adress eller den postadress, eller e-postadress, som Användarföretaget uppgivit vid anslutning till ID06-systemet. Användarföretaget ansvarar för att angivna adressuppgifter är korrekta och att eventuella ändringar anmäls utan dröjsmål till ID06.
14.2.2 Ett meddelande ska anses ha kommit mottagaren tillhanda (i) om avsänt med rekommenderat brev; tre (3) dagar efter avsändandet för postbefordran; och (ii) om avsänt med elektroniskt meddelande kommit till mottagarens elektroniska adress.
14.2.3 Med undantag för meddelande som rör uppsägning, spärrning eller blockering av Användarföretagets möjligheter att nyttja ID06-systemet, ska ID06 även ha rätt att kommunicera med Användarföretaget via ID06 Portalen eller via Behörig Användare.
14.3 Eftergivande av rättigheter
Parts dröjsmål med eller underlåtenhet att verkställa, utöva eller fullfölja någon rättighet enligt dessa Allmänna Bestämmelser eller underlåtenhet att påtala visst förhållande hänförligt till avtalet mellan parterna ska inte innebära att part frånfallit sin rätt i sådant avseende. Parts eftergift av rättighet eller påföljd, eller avstående från att utnyttja viss rättighet eller påtala visst förhållande ska i varje enskilt fall vara skriftlig och vederbörligen undertecknad av sådan part för att vara gällande.
14.4 Bestämmelses ogiltighet
Om någon bestämmelse i dessa Allmänna Bestämmelser helt eller delvis anses ogiltig eller ej verkställbar ska bestämmelsen i övriga delar liksom alla övriga bestämmelser i dessa Allmänna Bestämmelser vara gällande. För sådant fall ska parterna lojalt förhandla med varandra i syfte att, om möjligt, överenskomma om nödvändiga förändringar av dessa Allmänna Bestämmelser för att vidmakthålla dess struktur, syfte och anda.
15 TVIST OCH TILLÄMPLIG LAG
15.2 Information, skriftlig såväl som muntlig, som utgör underlag, beslut eller dom i tvisten ska behandlas med sekretess av båda parter och får således inte offentliggöras eller på annat sätt avslöjas utan skriftlig överenskommelse.
BILAGA 1 - Personuppgiftsbiträdesavtal
1. BAKGRUND
1.1 ID06 tillhandahåller tjänsten ID06 Stamp till Användarföretag som anslutit sig till ID06- systemet. Anslutningen till ID06-systemet regleras av Allmänna bestämmelser till vilket detta personuppgiftsbiträdesavtal utgör en integrerad del.
1.2 För den behandling av personuppgifter som sker i samband med tillhandahållandet av tjänsten ID06 Stamp, ska ID06 anses vara personuppgiftsbiträde och Användarföretaget personuppgiftsansvarig enligt tillämplig dataskyddslagstiftning.
1.3 Appendix A innehåller information om behandlingen av personuppgifter inklusive behandlingens syfte och art, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.
1.4 Appendix B innehåller en lista över godkända underbiträden.
1.5 Appendix C innehåller den personuppgiftsansvariges instruktioner, avseende ID06 behandling av personuppgifter, säkerhet samt förfarandet vid granskningar och inspektioner.
2. Definitioner
2.1 Termer som används i detta personuppgiftsbiträdesavtal ska ha samma betydelse som i Allmänna bestämmelser och som anges nedan samt i tillämplig dataskyddslagstiftning, vilket bl.a. innebär att:
med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet;
med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, såsom: insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring;
med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter;
med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvarigs räkning;
med underbiträde avses en underleverantör som anlitas av personuppgiftsbiträdet och som behandlar personuppgifter för personuppgiftsansvarigs räkning i enlighet med underbiträdets uppdrag att tillhandahålla tjänster åt personuppgiftsbiträdet;
med EU Kommissionens standardklausuler avses standardavtalsklausuler som reglerar överföring av personuppgifter till tredjeland och som tagits fram och beslutats av EU Kommissionen eller motsvarande villkor som ersätter detta beslut; samt
med tillämplig dataskyddslagstiftning avses Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (General Data Protection Regulation, "GDPR") och sådan nationell lagstiftning som införs med stöd av GDPR.
3. Den personuppgiftsansvariges rättigheter och skyldigheter
3.1 Den personuppgiftsansvarige är ansvarig för att säkerställa att behandlingen av personuppgifter utförs i enlighet med tillämplig dataskyddslagstiftning och detta personuppgiftsbiträdesavtal.
3.2 Den personuppgiftsansvarige äger rätt och har en skyldighet att besluta om ändamål och medel för behandlingen av personuppgifter. Med detta följer att den personuppgiftsansvarige är skyldig att tillse att behandlingen som ID06 ombeds att utföra har rättslig grund.
3.3 I den mån den personuppgiftsansvarige genom instruktion ställer krav på ID06 behandling av personuppgifter, som går utöver ID06 ordinarie rutiner för sin verksamhet och ID06 Stamp, ska ID06 ha rätt till skälig ersättning från den personuppgiftsansvarige för kostnader som uppstår.
4. ID06 rättigheter och skyldigheter
4.1 ID06 åtar sig att endast behandla personuppgifter som denne får tillgång till utifrån den personuppgiftsansvariges dokumenterade instruktioner, kraven i tillämplig dataskyddslagstiftning, och enbart för att tillhandahålla tjänsten ID06 Stamp.
4.2 ID06 får dock utan instruktion genomföra behandling som krävs enligt unionsrätten eller den medlemsstats nationella rätt som ID06 omfattas av, men ska i ett sådant fall informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida ID06 inte är förhindrad att ge sådan information med hänvisning till ett viktigt allmänintresse enligt denna rätt.
4.3 ID06 åtar sig härutöver att:
a) säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,
b) vidta alla lämpliga tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas i enlighet med tillämplig dataskyddslagstiftning (artikel 32 GDPR),
c) med tanke på behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III GDPR, och om den personuppgiftsansvarige så begär bereda registrerade tillgång till sina uppgifter i den personuppgiftsansvariges elektroniska personalliggare,
d) bistå den personuppgiftsansvarige med att tillse att skyldigheterna enligt artiklarna 32-36 GDPR fullgörs, med beaktande av typen av behandling och den information som ID06 har att tillgå,
e) beroende på vad den personuppgiftsansvarige väljer, radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att ID06 åtaganden har avslutats, och radera eventuella kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt (den personuppgiftsansvariges instruktion avseende radering och återlämning framgår av personuppgiftsbiträdesavtalet punkt 9), och
f) ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i tillämplig dataskyddslagstiftning har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en revisor som bemyndigats av den personuppgiftsansvarige.
4.4 ID06 ska omedelbart informera den personuppgiftsansvarige om ID06 anser att en instruktion strider mot tillämplig dataskyddslagstiftning.
5. Säkerhet vid behandling
5.1 De tekniska och organisatoriska åtgärder som vidtagits i syfte att skydda de personuppgifter som behandlas för den personuppgiftsansvariges räkning framgår av Appendix C.
5.2 Om ID06 avser att ändra de tekniska och organisatoriska åtgärderna på ett sådant sätt som kan inverka negativt på skyddet för personuppgifterna ska den personuppgiftsansvarige informeras om detta innan sådana åtgärder vidtas.
6. Användning av underbiträden
6.1 ID06 ges en rätt att vid utförandet av sina åtaganden som innefattar behandling av personuppgifter anlita underbiträden. En förteckning över underbiträden som godkänts av den personuppgiftsansvarige återfinns i Appendix B.
6.2 ID06 ska informera den personuppgiftsansvarige via xxx.xx00.xx, innan ett underbiträde anlitas eller ersätts, så att den personuppgiftsansvarige ges möjlighet att invända mot förändringen. Om den personuppgiftsansansvarige invänder har denne som enda påföljd rätt att säga upp sin anslutning till ID06-systemet till den tidpunkt då förändringen genomförs.
6.3 I förhållande till de underbiträden som anlitas åtar sig ID06 att ingå avtal om personuppgiftsbehandling på villkor som motsvarar detta personuppgiftsbiträdesavtal.
6.4 ID06 ansvarar för underbiträdens behandling av personuppgifter såsom för egen räkning.
7. Överföring till tredjeland
7.1 All överföring av personuppgifter till tredjeland eller internationella organisationer får endast utföras enligt dokumenterade anvisningar från den personuppgiftsansvarige och ska alltid utföras i enlighet med kapitel V i GDPR.
7.2 Om överföring till tredjeland eller internationell organisation, vilken ID06 inte har anvisats att utföra av den personuppgiftsansvarige, krävs enligt unionsrätten eller den medlemsstats nationella rätt som ID06 omfattas av, ska ID06 informera den personuppgiftsansvarige om det rättsliga kravet innan behandlingen utförs, såvida ID06 inte är förhindrad att ge sådan information med hänsyn till ett viktigt allmänintresse enligt denna rätt.
7.3 Den personuppgiftsansvarige bekräftar att ID06, med beaktande av informationsplikten i punkt 6 i detta personuppgiftsbiträdesavtal, om behov uppstår kan anlita underbiträden och överföra personuppgifter till ett tredjeland. Om personuppgifter överförs till eller görs tillgängliga från ett tredjeland ska ID06 tillse att det finns en rättslig grund enligt tillämplig dataskyddslagstiftning för en sådan överföring, till exempel genom att använda EU Kommissionens standardavtalsklausuler.
7.4 Anvisningarna från den personuppgiftsansvarige avseende överföring av personuppgifter till ett tredjeland, däribland, om tillämpligt, det överföringsverktyg enligt kapitel V i GDPR som överföringen baseras på, ska anges i Appendix C.
8. Stöd till den personuppgiftsansvarige
8.1 Med beaktande av behandlingens art ska ID06 bistå den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder när det är möjligt, i syfte att fullgöra den personuppgiftsansvariges skyldigheter att besvara förfrågningar om utövande av den registrerades rättigheter enligt kapitel III i GDPR avseende:
a) rätten till information när personuppgifter samlas in från den registrerade,
b) rätten till information när personuppgifter inte har erhållits från den registrerade,
c) den registrerades rätt till tillgång,
d) rätten till rättelse,
e) rätten till radering ("rätten att bli bortglömd"),
f) rätten till begränsning av behandling,
g) anmälningsskyldigheten till varje mottagare som personuppgifter lämnats ut avseende rättelse eller radering av personuppgifter och begränsning av behandling,
h) rätten till dataportabilitet,
i) rätten att göra invändningar, och
j) rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering.
8.2 ID06 ska, med beaktande av behandlingens art och den information som finns tillgänglig för ID06, bistå den personuppgiftsansvarige för att säkerställa efterlevnad av:
a) den personuppgiftsansvariges skyldighet att utan dröjsmål och vid behov, inte senare än 72 timmar efter upptäckten, meddela personuppgiftsincidenten till behörig tillsynsmyndighet, såvida inte personuppgiftsincidenten troligen inte innebär någon risk för fysiska personers rättigheter och friheter,
b) den personuppgiftsansvariges skyldighet att utan dröjsmål underrätta den registrerade om personuppgiftsincidenten, när personuppgiftsincidenten troligen resulterar i en hög risk för fysiska personers rättigheter och friheter,
c) den personuppgiftsansvariges skyldighet att utföra en bedömning av den påverkan som de planerade behandlingsåtgärderna får på skyddet av personuppgifter (en konsekvensanalys av dataskyddet), och
d) den personuppgiftsansvariges skyldighet att samråda med behörig tillsynsmyndighet före behandlingen där en konsekvensbedömning av dataskyddet visar att behandlingen skulle innebära en hög risk om inga åtgärder vidtas av den personuppgiftsansvarige för att minska risken.
9. Radering och återlämning
ID06 åtar sig att lagra personuppgifterna under den tid tjänsten ID06 Stamp tillhandahålls till den personuppgiftsansvarige samt för en period om tre (3) år därefter. Efter denna period har ID06 rätt att radera eller anonymisera personuppgifterna.
10. Granskning och inspektion
10.1 ID06 ska för den personuppgiftsansvarige tillgängliggöra all information som krävs för att visa att de skyldigheter som anges i artikel 28 GDPR efterlevs samt underlätta och bidra till granskningar och inspektioner som utförs av den personuppgiftsansvarige eller annan granskare på uppdrag av den personuppgiftsansvarige.
10.2 Det förfarande som ska tillämpas vid den personuppgiftsansvariges granskningar och inspektioner av personuppgiftsbiträdet anges i Appendix C.
10.3 Personuppgiftsbiträdet ska ge de tillsynsmyndigheter, som enligt tillämplig dataskyddslagstiftning ska få tillgång till den personuppgiftsansvariges och ID06 lokaler, eller ombud som agerar på uppdrag av sådana tillsynsmyndigheter, tillgång till ID06 fysiska lokaler vid uppvisande av lämplig identitetshandling.
11. Avtalstid, lagval och tvistlösning m.m.
Då detta personuppgiftsbiträdesavtal utgör en integrerad del av Allmänna bestämmelser ska regleringen däri för till exempel ansvar, avtalstid samt tvist och tillämplig lag även äga tillämpning på detta personuppgiftsbiträdesavtal.
Appendix A: Information om behandlingen
1. Syftet med personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvarige
Syftet med personuppgiftsbiträdets behandling av personuppgifter är att tillhandahålla tjänsten ID06 Stamp med de funktioner som erbjuds och som den personuppgiftsansvarige tar del av från tid till annan.
2. Behandlingens art
Behandlingen inom ramen för personuppgiftsbiträdesavtalet ska avse:
• Inhämtning
• Lagring
• Bearbetning
• Test
• Analys
• Överföring
3. Personuppgifterna
Uppgift om enskild firma, arbetsgivare, kortuppgifter (avser personnummer, namn) samt uppgift om in- och utloggningar.
4. Kategorier av registrerade
Innehavare av ID06-kort, innehavare av enskilda firmor.
5. Varaktighet
Personuppgiftsbehandlingen sker under den tid tjänsten ID06 Stamp tillhandahålls till den personuppgiftsansvarige. Lagring av personuppgifter sker för den period som överenskommits i punkt 9 i detta personuppgiftsbiträdesavtal, alternativt den särskilda lagringstid som den personuppgiftsansvarige angivit genom instruktion i Appendix C.
Appendix B: Godkända underbiträden
Den personuppgiftsansvarige godkänner att följande underbiträden anlitas:
Underbiträde | Adress | Beskrivning av behandlingen |
Vaultit AB, org. nr. 559087- 5646 | c/o ID06 AB, Box 13144, 103 03 Stockholm | Tillhandahållande av IT- infrastruktur för tjänsten ID06 Stamp |
Microsoft Ireland Operations Limited | Xxx Xxxxxxxxx Xxxxx, Xxxxx Xxxxxx Xxxxxxxx Xxxx, Xxxxxxxxxxxx, Xxxxxx 00 X00 X000 | Tillhandahållande av hostingtjänst |
Allmänna bestämmelser för anslutning av användarföretag till ID06-systemet | ||||
Process Avtal/Inköp | Klassificeringsnivå Öppen | Dokumentansvarig BSJ | Godkänd av PLÖ | Datum 191218 |
Appendix C: Instruktioner
1. Föremål för behandlingen
Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvarige ska utföras för tillhandahållande av tjänsten ID06 Stamp, innefattande:
a) förvaltning och lagring av personalliggare,
b) lagring, bearbetning, test, analys och överföring av personuppgifter enligt vid var tid gällande villkor och tjänstebeskrivning för ID06 Stamp, och
c) analys av information i ID06 Stamp i syfte att hjälpa personuppgiftsansvarig att upptäcka felaktigheter, agerande i strid med lag eller myndighetsbeslut, eller sådana övriga brister som Användarföretaget skäligen bör känna till.
2. Särskilda instruktioner
Inhämtning av personuppgifter från tredje part
Den personuppgiftsansvarige ger ID06 i instruktion att inhämta personuppgifter, inklusive inhämtning från tredje part, för tillhandahållandet av tjänsten ID06 Stamp enligt vad som beskrivs i Allmänna bestämmelser och detta personuppgiftsbiträdesavtal. Denna instruktion ska även anses innefatta en fullmakt för ID06 att på uppdrag av den personuppgiftsansvarige inhämta sådan information från en tredje part.
Överföring mellan ID06 tjänster
I syfte att möjliggöra tillhandahållande av andra tjänster i ID06-systemet som är beroende av ID06 Stamp, ger den personuppgiftsansvarige ID06 i instruktion att överföra personuppgifter från ID06 Stamp till de tjänster som den personuppgiftsansvarige nyttjar, till exempel ID06 Bolagsdeklaration.
Överföring till myndighet vid begäran
ID06 har som verksamhetsändamål att främja sund konkurrens och bidra till tryggare arbetsplatser. Verksamhetsändamålet uppfylls genom att utveckla och erbjuda system och IT lösningar för säker identifiering av individ och arbetsgivarsamband. Syftet med ID06-systemet är att motverka svartarbete, ekonomisk brottslighet och annan kriminalitet. Som ett led i denna verksamhet, ger den personuppgiftsansvarige ID06 i instruktion att överföra personuppgifterna till svenska myndigheter vid skriftlig begäran, föreläggande eller annan förfrågan härom från myndigheten när sådan begäran utgör del av myndighetsutövning.
3. Säkerhet vid behandlingen
Säkerhetsnivån ska vara anpassad till följande:
Dokument id: 24060201 Allmänna bestämmelser för anslutning av användarföretag till ID06-systemet) Sida 24 (27)
Behandlingen innefattar personuppgifter rörande en stor mängd registrerade. Personuppgifterna är, med undantag för personnummer, inte känsliga till sin art, varför en god säkerhetsnivå ska upprättas.
Personuppgiftsbiträdet ska härefter ha rätt och skyldighet att fatta beslut om de tekniska och organisatoriska säkerhetsåtgärder som bör tillämpas för att skapa nödvändig och godkänd datasäkerhetsnivå. Personuppgiftsbiträdet ska dock, så långt det är möjligt med hänvisning till behandlingens art i det enskilda fallet, vidta nedan tekniska och organisatoriska åtgärder.
4. Tekniska säkerhetsåtgärder
ID06 ska, när det är lämpligt och med beaktande av genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta följande tekniska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken:
• kunna säkerställa kontinuerlig sekretess, integritetsskydd och tillgänglighet i de system och tjänster som ID06 använder för att behandla personuppgifter, bl.a. genom att ha ett implementerat tekniskt system för att logga åtkomst till personuppgifter, kontrollera behörighet och därmed styra åtkomsten till personuppgifter så att enbart de som arbetar med personuppgifterna har tillgång till dem,
• kunna säkerställa att tillgängligheten och tillgången till personuppgifter kan återställas inom rimlig tid vid en fysisk eller teknisk incident, bl.a. genom att upprätthålla och skydda backup-filer,
• säkerställa att endast behörig personal har tillgång till data online, bl.a. genom tillämpning av VPN-lösning, PIM-rättigheter, multifaktorautentisering och rättighetsstyrning,
• tillämpa kryptering av personuppgifter såväl at-rest som in-transit för att motverka åtkomst till personuppgifterna i klartext samt säkerställa säker lagring och förvaltning av krypteringsnycklar, bl.a. genom övervakning och accesskontroller,
• så långt som möjligt tillämpa multifaktorautentisering för åtkomst till de system och delar av system där personuppgifter behandlas,
• ha en etablerad process och rutin för att regelbundet testa och bedöma effektiviteten i de tekniska åtgärderna som vidtagits för att kontinuerligt kunna säkerställa säkerheten i behandlingen, bl.a. genom penetrationstester och tillämpning av inbyggda principer för redundans, samt
• ha etablerade processer och tillämpa anpassade verktyg och funktioner för specifika och aktiva åtgärder mot aktiva och passiva angrepp mot systemet samt genomförande av testning (till exempel penetrationstester) av programsårbarheter och möjliga bakdörrar.
5. Organisatoriska säkerhetsåtgärder
ID06 ska, när det är lämpligt och med beaktande av genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta följande organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken:
• upprätthålla de krav som följer av ISO 27001 och ISO 9001,
• säkerställa att alla anställda på ID06 och ID06 leverantörer har en för tjänsten lämplig säkerhetsmedvetenhet och utbildning,
• säkerställa att ID06 policys och rutiner rörande säkerhet hålls uppdaterade och kommuniceras ut till de anställda som hanterar personuppgifter,
• ha etablerade rutiner och krav för hem- och distansarbete samt tillämpa VPN- lösning för uppkoppling till de system där personuppgifter behandlas,
• ha en etablerad process och rutin för att regelbundet testa och bedöma effektiviteten i de organisatoriska åtgärderna som vidtagits för att kontinuerligt kunna säkerställa säkerheten i behandlingen, samt
• ha en etablerad process och rutin för att skydda uppgifterna mot åtkomst, bl.a. genom tydliga instruktioner för de som arbetar för ID06 vad avser hantering av lösenord, användning av hårdvara och system.
6. Radering och återlämning
Vid avslutande av personuppgiftsbehandlingen ska personuppgiftsbiträdet antingen radera eller anonymisera personuppgifterna i enlighet med punkt 9 i personuppgiftsbiträdesavtalet, såvida inte den personuppgiftsansvarige – efter anslutningen till ID06-systemet och ingåendet av Allmänna bestämmelser – givit andra instruktioner. En sådan ändring ska dokumenteras och lagras av vardera part.
7. Geografisk lagring
Lagring av personuppgifter enligt personuppgiftsbiträdesavtalet får inte ske på andra platser än följande, om inte ett skriftligt förhandstillstånd har getts av den personuppgiftsansvarige:
• Inom EU/EES
8. Överföring till tredjeland
ID06 använder sig av Microsoft Azure för molntjänstlagring där alla personuppgifter lagras på servrar inom EU/EES. Microsoft Azure har ett moderbolag i USA som inte har direkt tillgång till uppgifterna och det finns inte heller skäl att tro att tillgång ges till uppgifterna. ID06 har dock implementerat en rad legala, tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att personuppgifter inte ska överföras till tredjeland i identifierbar eller läsbar form. ID06 kan trots vidtagna åtgärder inte helt och fullständigt utesluta att en överföring skulle kunna ske till ett tredjeland.
Mot bakgrund av ovan, ger den personuppgiftsansvarige ID06 i instruktion att använda Microsoft Azure även om det kan medföra att en överföring till tredjeland skulle kunna ske. Om en överföring sker, ska den rättsliga grunden vara:
Underbiträde | Land | Rättslig grund |
Microsoft Azure | USA | EU Kommissionens standardavtalsklausuler |
Denna instruktion ska anses utgöra sådant skriftligt förhandstillstånd som anges under punkt 7 i denna Appendix C.
9. Förfarande vid inspektion
Den personuppgiftsansvarige eller den personuppgiftsansvariges ombud äger rätt att när denne anser att det krävs, med meddelande tio (10) arbetsdagar före den planerade åtgärden, utföra en fysisk inspektion av de platser där behandlingen av personuppgifter utförs av personuppgiftsbiträdet, inklusive fysiska lokaler samt system som används för och i samband med behandlingen för att försäkra sig om personuppgiftsbiträdets efterlevnad av GDPR, tillämpliga dataskyddsbestämmelser i EU och medlemsstaten samt personuppgiftsbiträdesavtalet. Inspektion av fysiska lokaler får endast ske under ID06 ordinarie kontorstider.
ID06 kostnader avseende den fysiska inspektionen ska bekostas av den personuppgiftsansvarige med undantag för fall då inspektionen utvisar väsentliga brister. ID06 ska avsätta de resurser (i huvudsak personella resurser) som krävs för att den personuppgiftsansvarige ska kunna utföra inspektionen.